Kimlik doğrulama, siber güvenliğin uzun yıllardır temel taşlarından biri olmuştur. Ancak, yapay zeka ve sofistike oltalama kitlerinin kullanımının artmasıyla birlikte, kimlik doğrulamanın güven vermekte yetersiz kaldığı durumlar artış göstermektedir.

Olayın Arka Planı

Çok faktörlü kimlik doğrulama (MFA), bu açığı kapatmayı amaçlasaydı da, saldırganlar şimdi kullanıcı ile gerçek giriş portali arasında yer alarak kimlik doğrulamayı proxy’leyip MFA süreci sonrasında verilen oturum belirtecini çalmaktadır. Mağdur, her güvenlik kontrolünden geçse de, saldırgan, kimliğini kanıtlama fırsatını değerlendirerek oturum çerezine ulaşmaktadır.

NIST Özel Yayın 800-207, Sıfır Güven mimarisi için temel bir çerçeve sunarak, temel kimlik doğrulama seviyesine ulaşıldığında varsayılan güvenilirliğe dayanmaktan kaçınılması gerektiğini vurgulamaktadır. Ayrıca, erişim kararlarının talep yapılan cihazın güvenlik durumunu da dikkate alması gerektiğini belirtmektedir.

Sıfır Güven Uygulamalarında Sorunlar

Birçok sıfır güven uygulaması, kimlik odaklı hale gelmiştir. Güvenliği artırmaya, MFA’yı zorunlu hale getirmeye ve parolalara bağımlılığı azaltmaya odaklanmıştır. Cihaz doğrulaması ise genellikle yalnızca giriş noktasında uygulanmakta veya modern koşullu erişim çerçeveleri içinde yer alan tarayıcı tabanlı çalışma alanlarıyla sınırlı kalmaktadır. Eski protokoller, uzaktan erişim araçları ve API entegrasyonları, kimlik kurulduktan sonra varsayılan güveni devralma eğilimindedir.

• Fragmentasyon Sorunu: Kişisel ve üçüncü taraf cihazlar genellikle zayıf kontrol edilen ya da tamamen yönetilmeyen bir durumda kalıyor.
• Oturum Güveninin Sürekliliği: Cihaz durumu oturum boyunca kötüleşse bile, güvenilir oturum devam ediyor.
• Data Ayrılığı: Kimlik ve uç nokta sinyalleri genellikle ayrı araçlarda sınırlı entegrasyon ile kalıyor.

Cihaz: Cevabın Diğer Yarım Parçası

Bir saldırganın kontrolündeki dizüstü bilgisayarda kullanılan bir çalınmış parola, zorunlu güven vermeyen bir cihazdan kullanılan aynı parola ile aynı şekilde ele alınmamalıdır. Ancak ne yazık ki, bu durum kimliğin tek başına yönetiminde gerçekleşmektedir.

Cihaz durumu, kimliğin yanıtlayamadığı birçok soruya cevap vermektedir. Cihazın şifreli olup olmadı mı? Uç nokta koruması aktif ve sağlıklı mı? İşletim sistemi güncel mi? Yapılandırma politikadan saptı mı? Bu onaylı bir donanım mı?

Bu soruların yanıtları, ilk girişin ötesinde sürekli olarak güncel kalmalıdır. Bir güncelleme gecikebilir, uç nokta koruması devre dışı kalabilir veya onaylanmamış yazılımlar yüklenebilir. Girişteki koşullar, bir oturumun üçüncü saatindeki koşullar değildir. Sürekli cihaz doğrulama, çalınmış kimlik bilgileri ve yakalanmış belirteçlerin değerini azaltır, çünkü erişim yalnızca kimliğe değil, aynı zamanda güvenilir ve sağlıklı bir uç noktaya bağlı hale gelir.

Daha Güçlü Bir Model İçin Dört İlke

1. Kullanıcı ve cihazı sürekli doğrulama: Erişim, yalnızca kimlik kanıtı değil, cihaz sağlığına dayalı olmalıdır.
2. Onaylı donanıma bağlı erişim: Cihaz tabanlı kontroller, organizasyonların güvenilir donanımı kaydetmesine ve kurumsal, kişisel ve üçüncü taraf uç noktaları ayırt etmesine olanak tanır.
3. Orantılı uygulama: Sert kontroller, alternatif yollar oluşturur. Olgun bir strateji, koşullu kısıtlamalar, sınırlı ayrıcalıklar veya zamanla sınırlı izinler uygulayarak çözüme ulaşabilir.
4. Kendi kendine onarım sağlama: Eğer güven, cihaz sağlığına bağlıysa kullanıcıların bu güveni restore etme yolları olmalıdır.

Specops Device Trust, bu modeli işler hale getirerek güven kararlarını kimliğin ötesine taşımakta ve koşullar değiştikçe uygulanabilirliği sürdürmektedir. Kullanıcıları doğrulamakta ve cihazlarını, yalnızca giriş noktasında değil, sürekli olarak doğrulamaktadır.

Eğer kimlik güvenliği stratejinizi cihaz güvenini içerecek şekilde geliştirmek istiyorsanız, hemen Specops ile iletişime geçin veya bir demo rezervasyonu yapın ve çözümlerimizin ortamınıza nasıl uyum sağlayabileceğini görün.

Bu içerik, Specops Software tarafından sponsorlu ve yazılmıştır.

Son yıllarda, OAuth 2.0 protokolünü kullanarak gerçekleştirilen cihaz kodu kimlik avı saldırılarında %37 oranında bir artış gözlemlenmiştir. Bu tür saldırılar, tehdit aktörlerinin hesapları ele geçirmesini kolaylaştırarak siber güvenlik tehditlerini artırmaktadır.

Saldırı Nasıl Çalışıyor?

Cihaz kodu kimlik avı saldırısında, saldırgan bir hizmet sağlayıcısına cihaz yetkilendirme isteği gönderir ve bir kod alır. Bu kod, çeşitli bahanelerle kurbanın dikkatine sunulur. Kurban, bu kodun meşru bir giriş sayfasında girilmesi için ikna edilir, böylece saldırganın cihazı, geçerli erişim ve yenileme jetonları aracılığıyla hesaba erişim kazanır.

Etkilenen Sistemler

Bu saldırı akışı, girdi seçeneği bulunmayan cihazların (IoT cihazları, yazıcılar, akış cihazları ve akıllı TV’ler gibi) bağlanmasını kolaylaştırmak için tasarlanmıştır. Ancak, bu işlemin suistimali, hem devlet destekli saldırganlar hem de mali motive olmuş hackerlar tarafından gerçekleştirilmiştir.

Artan Tehditler

Push Security tarafından yapılan incelemelere göre, “EvilTokens” olarak bilinen kimlik avı kitinin yaygın olarak benimsenmesi, bu saldırıların artışını büyük ölçüde tetiklemiştir. Bu tür saldırıları gerçekleştiren diğer platformlar ve kitler de bulunmaktadır:

• VENOM – Cihaz kodu kimlik avı ve AiTM yetenekleri sunan kapalı kaynaklı bir kit.
• SHAREFILE – Citrix ShareFile belge transferine yönelik temalı bir kit.
• CLURE – Dönüşümlü API uç noktaları ve anti-bot geçidi kullanan bir kit.
• LINKID – Cloudflare zorluk sayfaları kullanan bir kit.
• AUTHOV – Popup tabanlı cihaz kodu girişi sunan bir kit.
• DOCUPOLL – DocuSign iş akışlarını taklit eden bir kit.
• FLOW_TOKEN – Tencent Cloud altyapısı kullanan bir kit.
• PAPRIKA – Microsoft giriş sayfaları ile sahte Okta alt bilgisi barındıran bir kit.
• DCSTATUS – Microsoft 365 “Güvenli Erişim” temalı basit bir kit.
• DOLCE – Microsoft PowerApps üzerinde barındırılan temalı bir kit.

Çözüm ve Korunma

Cihaz kodu kimlik avı saldırılarını engellemek için Push Security, kullanılmadığında bu akışı devre dışı bırakmayı öneriyor. Kullanıcılar, hesaplarında koşullu erişim politikaları belirleyerek ve logları kontrol ederek beklenmeyen cihaz kodu kimlik doğrulama olaylarını takip etmeli:

• Kullanmadığınızda cihaz kodu akışını devre dışı bırakın.
• Logları inceleyerek alışılmadık IP adresleri ve oturumları kontrol edin.

Sonuç olarak, bu tür saldırılara karşı proaktif olmak kritik önem taşımaktadır. Sistemlerinizi güncel tutun, gereksiz portları kapatın ve şüpheli etkinlikleri takip edin.

Son dönemde suçlular tarafından geliştirilen yeni bir kötü amaçlı araç olan EvilTokens, Microsoft hesaplarını ele geçirerek iş e-posta sahtekarlığı (BEC) saldırılarına olanak tanımaktadır. Bu durum, siber güvenlik uzmanları için önemli bir uyarı niteliği taşımaktadır, çünkü bu tür saldırılar giderek yaygınlaşmakta ve daha karmaşık hale gelmektedir.

Saldırı Nasıl Çalışıyor?

EvilTokens, cihaz kodu phishing yetenekleri entegre eden bir kit olarak, OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanmaktadır. Saldırı, mağduru kötü amaçlı bir cihazı yetkilendirmeye ikna ederek, onların hesaplarına erişim sağlamaktadır. Bu teknik, çeşitli tehdit aktörleri tarafından belgelenmiştir ve kapsamı giderek genişlemektedir.

• Rus grupları:  Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723 
•  ShinyHunters  veri sömürü grubu

Etkilenen Sistemler

Siber güvenlik araştırmacıları, Sekoia tarafından gerçekleştirilen çalışmalarda, mağdurların içeriğinde QR kodu veya bağlantı bulunan e-postalar aldıklarını gözlemlemiştir. Bu e-postalarda genellikle:

• Finansal belgeler
• Toplantı davetleri
• Lojistik veya satın alma emirleri
• Maaş bildirimleri
• DocuSign veya SharePoint gibi hizmetler üzerinden paylaşılan belgeler

Bu tuzaklar, finans, insan kaynakları, lojistik veya satış gibi departmanlardaki çalışanlara yönelik özelleştirilmiştir.

Mağdur bağlantıyı açtığında, güvenilir bir hizmeti taklit eden bir phishing sayfası ile karşılaşmaktadır. Bu sayfa, kimlik doğrulama sürecini tamamlamak için kullanıcının bir “Microsoft’a Devam Et” butonuna tıklamasını istemekte ve gerçek Microsoft cihaz giriş sayfasına yönlendirmektedir.

Çözüm ve Korunma

Saldırganlar, EvilTokens aracılığıyla hem kısa süreli erişim jetonu hem de sürekli erişim sağlayan yenileme jetonu elde etmektedir. Bu durum, saldırganlara mağdur hesaplarının bağlı olduğu hizmetlere, örneğin e-posta, dosyalar ve Microsoft Teams verilerine erişim vermektedir. Ayrıca, siber suçlular, BEC saldırıları için otomasyon imkanı sağlayan ileri düzey özellikler sunmaktadır.

Sekoia, EvilTokens PhaaS (Phishing-as-a-Service) kitini kullanarak gerçekleştirilen saldırılara dair uzaktan izleme için gösterge kayıtları (IoC), teknik ayrıntılar ve YARA kuralları sağlamaktadır.

Sonuç

Siber güvenlik tehditlerine karşı önlem almak için işletmelerin aşağıdaki adımları atması önemlidir:

• Microsoft uygulamalarını güncel tutun ve en son güvenlik yamalarını yükleyin.
• Yetkisiz kullanıcıların erişimlerini sınırlamak adına portları kapatın.
• Çalışanlara kimlik avı saldırılarına karşı farkındalık eğitimleri verin.
• Sekirlik işlemlerinize yönelik siber güvenlik protokollerini gözden geçirin ve güncelleyin.

Bu adımlar, EvilTokens ve benzeri tehditlere karşı korunmanın temel taşlarını oluşturmaktadır. Unutulmamalıdır ki, siber güvenlik sürekli bir çaba gerektirir ve her zaman dikkatli olunmalıdır.

Giriş

Son günlerde, ABD, Kanada, Avustralya, Yeni Zelanda ve Almanya’daki 340’tan fazla kuruluşu hedef alan aktif bir cihaz kodu phishing kampanyası dikkat çekmektedir. Bu saldırılar, kullanıcı kimliklerini tehlikeye atarak ciddi güvenlik sorunlarına neden olabilmektedir.

Saldırı Nasıl Çalışıyor?

Cihaz kodu phishing, OAuth cihaz yetkilendirme akışı‘nı kullanarak saldırganın kalıcı erişim jetonları elde etmesine olanak tanır. Bu jetonlar, hesap parolasının sıfırlanmasının ardından bile geçerli kalır, bu da saldırının etkisini daha da artırır. Saldırı süreci şu şekilde işlemektedir:

• Saldırgan, kimlik sağlayıcıdan (örneğin, Microsoft Entra ID) meşru bir cihaz kodu API’si aracılığıyla bir cihaz kodu talep eder.
• Servis, cihaz kodu ile yanıt verir.
• Saldırgan, kullanıcının belirtilen kodu girmesi için ikna edici bir e-posta gönderir.
• Kullanıcı kodu ve kimlik bilgilerini girdikten sonra, servis kullanıcı için bir erişim ve tazeleme jetonu oluşturur.

Kullanıcı oltaya düştüğünde, kimlik doğrulama süreci sonucunda elde edilen jetonlar artık saldırgana aittir.

Etkilenen Sistemler

Bu kampanyadan etkilenen başlıca sektörler arasında:

• İnşaat
• Hayır kurumları
• Gayrimenkul
• İmalat
• Finansal hizmetler
• Sağlık hizmetleri
• Hukuk
• Devlet kurumları

Saldırganlar, genellikle meşru Microsoft altyapısını kullanarak kullanıcıların şüphelenmeden oturum açmalarını sağlıyorlar.

Çözüm ve Korunma

Huntress tarafından tespit edilen bu kampanyada kullanılan IP adresleri arasında  Railway.com ‘a ait birkaç adres öne çıkmaktadır:

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

Bu tehditleri bertaraf etmek için önerilerimiz:

• Giriş kayıtlarını tarayarak  Railway IP  girişlerini tespit edin.
• Affected kullanıcılar için tüm tazeleme jetonlarını iptal edin.
• Mümkünse,  Railway  altyapısından gelen kimlik doğrulama girişimlerini engelleyin.

Kullanıcıların bu önlemleri alması, olası bir sızıntının önlenmesine yardımcı olacaktır. Güncellemeleri ve güvenlik yamalarını takip etmek de kritik bir önem taşımaktadır.

Sonuç

Kullanıcılar, e-posta ve bağlantılara karşı dikkatli olmalı ve kimlik bilgilerini girilecek sayfalarda her zaman dikkatli olmalıdır. Sisteminizi korumak için yukarıdaki adımları izlemeli ve mümkün olan en kısa sürede güçlü bir güvenlik önlemi almalısınız. Gerektiğinde IT departmanınızla iletişime geçin.